Oracle® Fusion Middleware Oracle WebLogic Server 12.1.3セキュリティの管理 12c (12.1.3) E57576-07 |
|
前 |
次 |
この章では、WebLogic Server 12.1.3でのJava Cryptography Extension (JCE)プロバイダ、RSA、JDKおよびnCipherの使用のサポート状況について説明します。
この章の内容は次のとおりです。
注意: この項では、非FIPSモードでのRSA JCEプロバイダの使用について説明します。RSA JCEプロバイダは、第37章「FIPSモードの有効化」で説明するようにFIPSモードで使用することもできます。 |
RSA JCEプロバイダはWebLogic Serverに含まれています。RSA JCEプロバイダはcryptoj.jar
内にあります。cryptoj.jarは、デフォルトではWebLogic Serverのクラスパス内に格納されています。
次のURLより、使用しているJDKのバージョンに対応するJava Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルをダウンロードおよびインストールします。これらのJavaポリシーJARファイルは、128ビットを超えるサイズの暗号鍵に影響します(http://www.oracle.com/technetwork/java/javase/downloads/index.html
)。
.ZIPディストリビューションを開き、JAVA_HOME
/jre/lib/セキュリティのlocal_policy.jar
とUS_export_policy.jar
を更新します。詳細およびインストール方法は、.ZIPディストリビューション内のREADME.txt
ファイルを参照してください。
RSA CryptoJのドキュメントには、RSAのJCEプロバイダを使用するために少なくとも2つの方法が記載されています。
(たとえばjava.security
を編集することによる)静的登録。
security.provider.1=com.rsa.jsafe.provider.JsafeJCE
実行時の動的登録。
// Create a Provider object Provider jceProvider = new com.rsa.jsafe.provider.JsafeJCE(); // Add the JCE Provider class to the current list of providers available on the system. Security.insertProviderAt (jceProvider, 1);
WebLogic Serverでは、JDK JCEプロバイダ(SunJCE
)の使用がサポートされています。SunJCE
の機能の詳細は、Java (tm) Cryptography Architecture (JCA)リファレンス・ガイド(http://docs.oracle.com/javase/7/docs/technotes/guides/security/crypto/CryptoSpec.html
)を参照してください。
JCAフレームワークには、異なる管轄コンテキストでアプレット/アプリケーションに使用可能な暗号化アルゴリズムおよび最高暗号化強度に関する制約を強制する機能が含まれます。このような制約は、「管轄ポリシー・ファイル」で指定されます。詳細は、Java (tm) Cryptography Architecture (JCA)リファレンス・ガイドを参照してください。
WebLogic Serverアプリケーション・プログラミング・インタフェース(API)で使用される暗号化の強度は、引続きWebLogic Serverによって制御されます。クライアント・コードに適切な国内向け強度の暗号化設定がない場合は、デフォルトのJava SE輸出向け強度の暗号化しか使用できません。サーバーでは常に、輸出向け強度または国内向け強度の暗号化が有効になります。
WebLogic ServerではnCipher JCEプロバイダの使用もサポートされています。これはhttp://www.ncipher.com
で入手できます。SSLは、Webサーバーで使用できるリソースの保護における重要なコンポーネントです。しかし、大量のSSLトラフィックによって、Webサーバーのパフォーマンスを低下させるボトルネックが発生することがあります。JCEプロバイダは、暗号化用ハードウェア・カードを使用するnCipherと同じように、WebサーバーのSSLプロセスの負荷を軽減し、サーバーがより多くのトランザクションを処理できるようにします。また、キーの整合性と機密性を保持するための強力な暗号化プロセスも提供します。
nCipher JCEプロバイダをインストールするには:
製品のドキュメントに従って、nCipher JCEプロバイダのハードウェアを設置し、構成します。
nCipher JCEプロバイダのファイルをインストールします。以下のファイルが必要です。
管轄ポリシー・ファイル - これらのファイルはJDKによってデフォルトでインストールされますが、輸出向け強度に制限されています。
JARファイルを署名した証明書
注意: この手順は、nCipher JCEプロバイダのハードウェアの設置作業の一部として実行済みになっている場合もあります。その場合は、ファイルが適切にインストールされていることを確認してください。 |
JCEプロバイダJARファイル
このファイルのインストール方法は以下から選択します。
ファイルを拡張としてインストールします。ファイルを以下のいずれかの場所にコピーします。
JAVA_HOME/jre/lib/ext
例:
ORACLE_HOME/jdk1.7.0_15/jre/lib/ext
サーバーのCLASSPATHにファイルを指定します。
Javaセキュリティ・プロパティ・ファイル(java.security)を編集して、WebLogic Serverで承認されているJCEプロバイダのリストにnCipher JCEプロバイダを追加します。Javaセキュリティ・プロパティ・ファイルは、以下の場所にあります。
JAVA_HOME/jre/lib/security/java.security
次のようにnCipher JCEプロバイダを指定します。
security.provider.n=com.ncipher.provider.km.mCipherKM
n
は、特定のプロバイダが指定されていない場合に、リクエストされたアルゴリズムに対してプロバイダが検索される順序を決定するプリファレンス順序です。順序は1が基準になり、1が最も優先されます。その後、2、3、...と続きます。
nCipher JCEプロバイダは、セキュリティ・プロパティ・ファイルでRSA JCAプロバイダの次に来る必要があります。例:
security.provider.1=sun.security.provider.Sun security.provider.2=sun.security.rsa.SunRsaSign security.provider.3=com.ncipher.provider.km.mCipherKM
WebLogic Serverを起動します。
nCipher JCEプロバイダが正常に機能していることを確認するには、nCipherの製品ドキュメントに従ってデバッグを有効にします。